La recente funzionalità di smart wallet di Ethereum, EIP-7702, è sotto esame dopo che i ricercatori di sicurezza blockchain hanno scoperto un uso improprio da parte dei cybercriminali. Dopo l’upgrade Pectra, diversi fornitori di wallet hanno iniziato a integrare le funzionalità di EIP-7702.
Gli analisti di Wintermute, una società di trading crypto, hanno notato che gli attaccanti hanno utilizzato il 97% delle deleghe dei wallet EIP-7702 per distribuire contratti progettati per drenare fondi da utenti ignari.
Gli hacker usano l’EIP-7702 di Ethereum per automatizzare il drenaggio di massa dei wallet
EIP-7702 consente temporaneamente agli account di proprietà esterna (EOA) di operare come smart contract wallet. L’upgrade abilita funzionalità come il batching delle transazioni, limiti di spesa, integrazione delle chiavi di accesso e recupero del wallet, tutto senza cambiare gli indirizzi del wallet.
Mentre questi upgrade mirano a migliorare l’usabilità, gli attori malintenzionati stanno sfruttando lo standard per accelerare l’estrazione dei fondi.
Invece di spostare manualmente ETH da ogni wallet compromesso, gli attaccanti ora autorizzano contratti che inoltrano automaticamente qualsiasi ETH ricevuto ai loro indirizzi.
“Non c’è dubbio che gli attaccanti siano tra i primi ad adottare nuove capacità. Il 7702 non è mai stato pensato come una soluzione definitiva e ha grandi casi d’uso,” ha detto Rahul Rumalla, Chief Product Officer di Safe, ha dichiarato.
L’analisi di Wintermute mostra che la maggior parte di queste deleghe di wallet punta a codebase identiche progettate per “spazzare” ETH dai wallet compromessi.
Questi “sweepers” trasferiscono automaticamente qualsiasi fondo in entrata agli indirizzi controllati dagli attaccanti. Su quasi 190.000 contratti delegati esaminati, più di 105.000 erano collegati ad attività illecite.
Koffi, un analista senior di dati presso Base Network, ha spiegato che oltre un milione di wallet ha interagito con contratti sospetti lo scorso fine settimana.
Ha chiarito che gli attaccanti non hanno utilizzato EIP-7702 per hackerare i wallet ma per semplificare il furto da wallet con chiavi private già esposte.
L’analista ha aggiunto che un’implementazione di rilievo include una funzione di ricezione che attiva i trasferimenti di ETH nel momento in cui i fondi arrivano nel wallet, eliminando la necessità di un prelievo manuale.
Yu Xian, fondatore della società di sicurezza blockchain SlowMist, ha confermato che i responsabili sono gruppi organizzati di furto, non tipici operatori di phishing. Ha notato che le capacità di automazione di EIP-7702 lo rendono particolarmente attraente per exploit su larga scala.
“Il nuovo meccanismo EIP-7702 è utilizzato principalmente da gruppi di furto di monete (non gruppi di phishing) per trasferire automaticamente fondi da indirizzi di wallet con chiavi private/mnemoniche trapelate,” ha dichiarato.
Nonostante la portata dell’operazione, non ci sono profitti confermati finora.
Un ricercatore di Wintermute ha notato che gli attaccanti hanno speso circa 2,88 ETH per autorizzare oltre 79.000 indirizzi. Un solo indirizzo ha eseguito quasi 52.000 autorizzazioni, eppure l’indirizzo di destinazione non ha ricevuto alcun fondo.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
